Endereços de email e o escopo do GDPR. Regulamento Geral de Proteção de Dados

No 25th de maio, o Regulamento Geral de Proteção de Dados (GDPR) entrará em vigor. Com a instalação do GDPR, a proteção de dados pessoais se torna cada vez mais importante. As empresas precisam levar em consideração regras mais rígidas em relação à proteção de dados. No entanto, várias questões surgem como resultado da parcela do RGPD. Para as empresas, pode não estar claro quais dados são considerados dados pessoais e se enquadram no escopo do RGPD. É o caso dos endereços de email: um endereço de email é considerado dados pessoais? As empresas que usam endereços de e-mail estão sujeitas ao GDPR? Essas perguntas serão respondidas neste artigo.

Dados pessoais

Para responder à pergunta sobre se um endereço de e-mail é ou não considerado dados pessoais, é necessário definir o termo dados pessoais. Este termo é explicado no RGPD. Com base no artigo 4 sub a GDPR, dados pessoais significam qualquer informação relativa a uma pessoa física identificada ou identificável. Uma pessoa singular identificável é uma pessoa que pode ser identificada, direta ou indiretamente, principalmente em referência a um identificador, como nome, número de identificação, dados de localização ou identificador on-line. Dados pessoais se referem a pessoas físicas. Portanto, informações sobre pessoas falecidas ou pessoas jurídicas não são consideradas dados pessoais.

Endereços de email e o escopo do GDPR

Endereço de e-mail

Now that the definition of personal data is determined, it needs to be assed if an email address is considered to be personal data. Dutch case law indicates that email addresses could possibly be personal data, but that this is not always the case. It depends whether or not a natural person is identified or identifiable based on the email address.[1] The way persons have structured their email addresses has to be taken into account in order to determine whether the email address can be seen as personal data or not. A lot of natural persons structure their email address in such a way that the address has to be considered personal data. This is for example the case when an email address is structured in the following way: firstname.lastname@gmail.com. This email address exposes the first and last name of the natural person that uses the address. Therefore, this person can be identified based on this email address. Email addresses that are used for business activities could also contain personal data. This is the case when an e-mail address is structured in the following way: initials.lastname@nameofcompany.com. From this email address can be derived what the initials of the person using the email address are, what his last name is and where this person works. Therefore, the person using this email address is identifiable based on the email address.

An email address is not considered to be personal data when no natural person can be identified from it. This is the case when for example the following email address is used: puppy12@hotmail.com. This email address does not contain any data from which a natural person can be identified. General email addresses that are used by companies, like info@nameofcompany.com, are also not considered to be personal data. This email address does not contain any personal information from which a natural person can be identified. Moreover, the email address is not used by a natural person, but by a legal entity. Therefore, it is not considered to be personal data. From Dutch case law can be concluded that email addresses can be personal data, but this is not always the case; it depends of the structure of the email address.

Há uma grande chance de que pessoas físicas possam ser identificadas pelo endereço de email que estão usando, o que torna os dados pessoais dos endereços de email. Para classificar endereços de email como dados pessoais, não importa se a empresa realmente usa os endereços de email para identificar os usuários. Mesmo que uma empresa não use os endereços de email com a finalidade de identificação de pessoas físicas, os endereços de email dos quais as pessoas físicas podem ser identificadas ainda serão considerados dados pessoais. Nem toda conexão técnica ou coincidente entre uma pessoa e dados é suficiente para designar os dados como dados pessoais. No entanto, se existe a possibilidade de os endereços de email poderem ser usados ​​para identificar os usuários, por exemplo, para detectar casos de fraude, os endereços de email são considerados dados pessoais. Nisso, não importa se a empresa pretendia ou não usar os endereços de email para esse fim. A lei fala de dados pessoais quando existe a possibilidade de que os dados possam ser usados ​​para uma finalidade que identifique uma pessoa natural. [2]

Dados pessoais especiais

Embora os endereços de email sejam considerados dados pessoais na maioria das vezes, eles não são dados pessoais especiais. Dados pessoais especiais são dados pessoais que revelam origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas ou associação comercial e dados genéticos ou biométricos. Isso deriva do artigo 9 do RGPD. Além disso, um endereço de email contém menos informações públicas do que, por exemplo, um endereço residencial. É mais difícil obter conhecimento do endereço de e-mail de alguém do que o endereço residencial e depende em grande parte do usuário do endereço de e-mail, quer o endereço de e-mail seja tornado público ou não. Além disso, a descoberta de um endereço de email que deveria ter ficado oculto tem consequências menos graves do que a descoberta de um endereço residencial que deveria ter ficado oculto. É mais fácil alterar um endereço de email do que um endereço residencial e a descoberta de um endereço de email pode levar ao contato digital, enquanto a descoberta de um endereço residencial pode levar ao contato pessoal. [3]

Processamento de dados pessoais

Estabelecemos que os endereços de email são considerados dados pessoais na maioria das vezes. No entanto, o GDPR se aplica apenas a empresas que estão processando dados pessoais. O processamento de dados pessoais existe para todas as ações relacionadas a dados pessoais. Isso é definido mais detalhadamente no GDPR. De acordo com o artigo 4.º, n.º 2, do RGPD, o processamento de dados pessoais significa qualquer operação realizada em dados pessoais, seja por meios automáticos ou não. Exemplos são coleta, gravação, organização, estruturação, armazenamento e uso de dados pessoais. Quando as empresas realizam as atividades mencionadas acima em relação aos endereços de email, elas estão processando dados pessoais. Nesse caso, eles estão sujeitos ao RGPD.

Conclusão

Nem todos os endereços de email são considerados dados pessoais. No entanto, endereços de email são considerados dados pessoais quando fornecem informações identificáveis ​​sobre uma pessoa natural. Muitos endereços de email são estruturados de maneira que a pessoa natural que usa o endereço de email possa ser identificada. É o caso quando o endereço de email contém o nome ou local de trabalho de uma pessoa natural. Portanto, muitos endereços de email serão considerados dados pessoais. É difícil para as empresas fazer uma distinção entre endereços de email considerados dados pessoais e endereços de email que não são, pois isso depende inteiramente da estrutura do endereço de email. Portanto, é seguro dizer que as empresas que processam dados pessoais encontrarão endereços de e-mail considerados dados pessoais. Isso significa que essas empresas estão sujeitas ao GDPR e devem implementar uma política de privacidade compatível com o GDPR.

[1] ECLI: NL: GHAMS: 2002: AE5514.

[2] Kamerstukken II 1979/80, 25 892, 3 (MvT).

[3] ECLI: NL: GHAMS: 2002: AE5514.

Partilhar